No es necesaria la clave al entrar por
Consola (CLI) a partir de este momento, salvo que reiniciemos el modem. No
se cambia el valor de dicha contraseña (por defecto, adminttd)
disable command password
Necesaria la contraseña para entrar via http o telnet (puertos 80 y 23)
Set command login_required yes
Nombre del sistema. Es el que se muestra en
la ventana principal via http, junto a la IP interna. No se admiten
espacios, si el punto (.) y el guión bajo (_)
set system name AAAAAA
Informaciones adicionales del sistema. Son
opcionales y so se admiten espacios en los nombres, aunque si el punto (.) y
el guión bajo (_). Si conectamos a este modem desde ciertos protocolos
permiten identificar la máquina con la que conectamos.
set system location BBBBBB
set system contact CCCCCC
Permitir la configuración remota, lo que
permite configurarlo via http.
enable security_option remote_user administration
Nombre y contraseña entrando por http o por
telnet
add user DDDDDD password EEEEEE
Configura la zona horaria para España. CET
es el acrónimo de Central European Time que es la regla seguida en nuestro
territorio.
set timezone CET
Activa el acceso a servidores de fecha/hora
para que se actualice automáticamente este parámetro en el router
enable ntp
Creamos una conexión de red que llamamos
LAN, le damos al modem la IP de la Ethernet FFFFFFF y la máscara GGGGGG, y
lo activamos.
add ip network LAN address FFFFFF/GGGGGG enable yes
Activamos el modo de Forwarding
(seguimiento) de IP
Enable ip forwarding
Desconectamos el servidor de dhcp. Si
deseamos que si funcione, solo hay que cambiarlo por enable
Set dhcp mode disabled
Creamos un Remote Site (sitio remoto) que
llamamos internet. A los Remote Site se les llama siempre con VC seguido del
nombre. No lo activamos ya que antes hay que configurar los puertos.
Add vc internet
Activamos este acceso externo como del tipo
IP, no IPX, sin bridging, y le damos los parámetros de la red de telefónica
(aunque el proveedor sea otro, los modems, lineas y protocolos son los de
telefonica)
Set vc internet ip enable ipx disable bridging disable
Set vc internet network_service rfc_1483
Set vc internet atm vpi 8 vci 32 category_of_service unspecified pcr 0
Introducimos la IP de la puerta remota.
Este es un valor de nuestro proveedor. También se introduce la máscara de
red, que suele ser 255.255.255.192
Set vc internet remote_ip_address HHHHHH/IIIIII
Fijamos la IP pública de nuestra conexión.
Es nuestra IP en internet
Set vc internet local_ip_address JJJJJJ
Activamos el redireccionamiento del modem
Set vc internet default_route_option enable
Activamos el redireccionamiento de puertos
solamente (PAT)
set vc internet nat_option pat
Aquí configuramos los puertos. Donde pone
la IP 192.168.0.3 deberemos poner la IP de la máquina que deseamos que haga
DCC, que maneje el Messenger,..
add pat tcp vc internet public_port 21 private_address 192.168.0.3
private_port 21
add pat tcp vc internet public_port 59 private_address 192.168.0.3
private_port 59
add pat tcp vc internet public_port 389 private_address 192.168.0.3
private_port 389
add pat tcp vc internet public_port 522 private_address 192.168.0.3
private_port 522
add pat tcp vc internet public_port 1080 private_address 192.168.0.3
private_port 1080
add pat tcp vc internet public_port 1503 private_address 192.168.0.3
private_port 1503
add pat tcp vc internet public_port 1720 private_address 192.168.0.3
private_port 1720
add pat tcp vc internet public_port 1731 private_address 192.168.0.3
private_port 1731
add pat tcp vc internet public_port 1863 private_address 192.168.0.3
private_port 1863
add pat tcp vc internet public_port 4000 private_address 192.168.0.3
private_port 4000
add pat tcp vc internet public_port 4500 private_address 192.168.0.3
private_port 4500
add pat tcp vc internet public_port 4501 private_address 192.168.0.3
private_port 4501
add pat tcp vc internet public_port 5190 private_address 192.168.0.3
private_port 5190
add pat tcp vc internet public_port 6891 private_address 192.168.0.3
private_port 6891
add pat tcp vc internet public_port 6892 private_address 192.168.0.3
private_port 6892
add pat tcp vc internet public_port 6900 private_address 192.168.0.3
private_port 6900
add pat tcp vc internet public_port 6901 private_address 192.168.0.3
private_port 6901
add pat udp vc internet public_port 1720 private_address 192.168.0.3
private_port 1720
add pat udp vc internet public_port 4500 private_address 192.168.0.3
private_port 4500
add pat udp vc internet public_port 4501 private_address 192.168.0.3
private_port 4501
add pat udp vc internet public_port 5190 private_address 192.168.0.3
private_port 5190
add pat udp vc internet public_port 6901 private_address 192.168.0.3
private_port 6901
aquí acabamos con el PAT. Solo queda
habilitar el acceso exterior. Ya tendremos conexión
enable vc internet
Vamos a crear un fichero de filtro, que
sigue la norma de entrada (IN), remote site (RS), nombre del remote site (internet)
y extensión FLT: INRSinternet.FLT. Para no tener que trabajar con ficheros
adicionales y cargarlos con protocolos de FTP activamo0s una captura de
texto.
capture text_file INRSinternet.FLT
comando obligado al escribir un fuchero de
filtro
#filter
tipo de filtro. Filtraremos por protocolo
IP (TCP-IP)
IP:
Llamaremos al Filtro "Cerrar modem a
internet", es el filtro 1, lo activamos y deficinimos que es del tipo
avanzado (para poder filtrar por puertos)
[FN=Cerrar Modem a Internet| FI=1| Enabled=yes | Type=Adv ]
establecemos la condicion 1 del filtro y la
activamos.
{CI=1| Enabled=yes }
rechazar los accesos por puerto 23
1 REJECT TCP-DST-PORT=23;
condiciones consecutivas para los puertos
80, 135, 445 y 1025
{CI=2| Enabled=yes }
2 REJECT TCP-DST-PORT=80;
{CI=3| Enabled=yes }
3 REJECT TCP-DST-PORT=135;
{CI=4| Enabled=yes }
4 REJECT TCP-DST-PORT=445;
{CI=5| Enabled=yes }
5 REJECT TCP-DST-PORT=1025;
definimos un segundo puerto que cierra el
acceso por netbios, es un filtro preestablecido y por eso es el 41 y del
tipo automático. Es como si configurando por http, en el remote site,
activamos la casilla de verificacion "Protect our files and printers of
remote site access)
[FN=Protect Files and Printers| FI=41| Enabled=yes | Type=Auto ]
Empezamos a fijar y activar condiciones,
rechazando los puertos 137, 138, 139 y 143
{CI=1| Enabled=yes }
6 REJECT UDP-DST-PORT=137;
{CI=2| Enabled=yes }
7 REJECT UDP-DST-PORT=138;
{CI=3| Enabled=yes }
8 REJECT TCP-DST-PORT=139;
{CI=4| Enabled=yes }
9 REJECT TCP-DST-PORT=143;
Aquí va un caracter de control. Durante
esta captura de texto no se ve el prompt del 3Com. Para salir de este modo
hay que pulsar o enviar CTRL+D
añadimos al router como filtro, el fichero que hemos generado y que se
llama INRSinternet.FLT
add filter INRSinternet.FLT
hacemos que el filtro recien añadido sea un
filtro de entrada para el remote site internet
set vc internet input_filter INRSinternet.FLT
grabamos, y por no pecar de escasos,
regrabamos
Save all
Save all
|
#1
AnonymousEnviado el 25 Julio 2007 a las 18:41Tras diferentes problemas con la instalación (no cabía en mi flash y tuve que eliminar ficheros antes de realizar el update) por fín ha funcionado.
Leyendo este documento y analizando las órdenes que proporcionan al router la configuración, en especial el filtro, hay comandos que no conozco y no aparecen en el manual CLI del 3com.
¿De dónde has sacado la información? En especial de los condicionales del filtro.
Por cierto, ¿alguien sabe cómo puedo registrar una MAC estática en el router? (Creo que no se puede…)
Gracias.
#2
AnonymousEnviado el 25 Julio 2007 a las 18:41Eso de que la máscara de red remota suele ser 255.255.255.192… ¿no puede ser otra? y si lo es, ¿cómo lo averiguo?
En los papeles que envía timofónica con el Kit hay un apartado “Máscara de usuario (o de subred)”, que en mi caso no es la 192… ¿tiene al que ver?